在 Azure 中實作 SMA OpCon 環境
本文說明在 Azure 中實作的兩個 OpCon 選項。 OpCon Cloud 是 SMA 設定和管理的受控 OpCon 實作。 OpCon 資料中心是您設定和管理的雲端安裝。
檢閱這兩個選項,以判斷哪一種方法最符合您的案例。
架構:OpCon Cloud
下列架構圖顯示使用 Azure SQL Database 的 OpCon Cloud 環境,以符合資料庫需求。 OpCon 環境可以部署在 Azure 環境或混合式環境中。
此實作會使用單一虛擬網路和多個子網來支持各種功能。 網路安全組 (NSG) 會篩選虛擬網路中 Azure 資源之間的網路流量。
下載此架構的 Visio 檔案。
工作流程:OpCon Cloud
您會在您所管理的 Azure Kubernetes Service (AKS) 叢集中部署 OpCon 核心服務容器。 PersistentVolumes (Azure 檔案記憶體 CSI 記憶體驅動程式) 會儲存記錄和組態資訊,以確保容器重新啟動的數據持續性。
OpCon 核心服務會透過設定的 Azure 私人端點連線到 OpCon 資料庫,以提供對 SQL Database 伺服器的安全存取。
OpCon 核心服務會與安裝在虛擬網路環境內的虛擬機 (VM) 上的 OpCon 代理程式通訊。 這些服務也會透過轉接元件與內部部署系統通訊。
同樣地,OpCon 核心服務會直接與虛擬網路環境中的應用程式 REST API 端點通訊。 這些服務也會透過轉接元件和 無連線 系統與內部部署系統通訊。
OpCon 核心服務提供解決方案管理員,這是與整個 OpCon 環境互動的網頁式使用者介面。
NSG 會限制子網之間的流量流量。
OpCon 資料庫物件和數據會安裝在透過私人端點存取的 SQL Database 伺服器內。
OpCon 核心服務會透過OpCon連接器技術與 Azure 記憶體互動。 這項整合提供管理 Azure Blob 記憶體的功能。 OpCon 受控檔傳輸 (MFT) 也支援與記憶體的互動。
應用程式子網包含提供應用程式基礎結構的 VM。 應用程式伺服器也可以安裝在多個子網或虛擬網路中,為 Web 伺服器、應用程式伺服器或其他系統建立不同的環境。
應用程式 VM 或內部部署舊版系統需要連線到 OpCon 核心服務來管理其工作負載。 提供 REST API 端點的應用程式不需要額外的軟體。
子網包含 OpCon MFT 伺服器。 此 OpCon 元件提供完整的文件傳輸功能,例如壓縮、加密、解密、解壓縮、檔案監看,以及企業的自動化檔案路由。
NSG 會限制子網之間的流量流量。
混合式環境需要因特網連線,才能將內部部署環境連結至OpCon Cloud實例。
OpCon Relay 是管理內部部署代理程式的軟體元件。
OpCon Cloud 和 Relay 之間的連結會透過 WebSocket 使用標準加密通訊協定。
代理程式組態會在 OpCon 環境中定義一次,然後推送至指定的轉接器元件。
在轉寄接收其設定之後,它會建立與內部部署 OpCon 代理程式的連線,並將其狀態回報給 Azure 中的 OpCon 環境。 來自代理程式的訊息會透過定義的連線來回傳遞。
您也可以在轉寄環境中安裝 無連線 代理程式。
所有使用者要求都會透過因特網連線路由傳送至 OpCon 核心服務環境。
使用者與 OpCon 方案管理員互動,這是下列工具的網頁式使用者介面:
- OpCon 管理
- OpCon MFT 管理
- OpCon 工作流程開發、實作和監視
- OpCon 自助
- OpCon 視覺 (工作儀錶板)
- OpCon MFT 中央應用程式 (儀錶板和查詢應用程式)
OpCon 核心服務會透過轉寄與安裝在內部部署系統上的 OpCon 代理程式通訊。
同樣地,OpCon 核心服務會使用轉寄直接透過 REST API 端點與內部部署系統通訊。 此方法使用 REST API 型連線選項。
案例詳細資料
OpCon Cloud 是一種 Azure 安裝的 OpCon 版本,SMA 會設定和管理,包括軟體升級和監視服務。 您可以購買更多服務,以協助建立工作流程。
此範例架構會在 Azure 中執行 SMA 的 OpCon Cloud 環境。 它可作為單一自動化控制點,可跨企業自動化內部部署和 Azure 中的工作流程。 OpCon 可協助企業中所有伺服器和系統之間的工作流程。 OpCon 排程活動監視器 (SAM) 是核心 OpCon 模組。 它會與目標系統上的代理程序通訊,以排程工作、監視工作及接收外部事件。 這些代理程式可以部署到許多平臺,包括 Windows、Linux/Unix、Unisys ClearPath Forward 大型主機(MCP 和 2200)、IBM z/OS 和 IBM AIX,這讓所有系統都處於統一自動化架構之下。
OpCon 轉寄會透過單一連絡點,將內部部署系統與 OpCon Cloud 環境連線。 這項功能可移除 Azure VPN 連線的需求。
無連線代理程式平臺可以提供 OpCon 雲端系統和 REST API 實作之間的直接連線。 您不需要額外的容器來支援與應用程式的連線。
內部部署伺服器會連線到轉寄軟體元件。 您可以在內部部署環境中安裝多個轉寄元件。 OpCon 環境是使用 AKS 和 SQL Database 伺服器部署在 Kubernetes 叢集中。
架構:OpCon 資料中心
如果您想要更多控制,您可以在 Azure 環境中自行安裝及管理 OpCon。 您可以設計混合式雲端和內部部署基礎結構,或僅限雲端的基礎結構。
您可以從 Docker Hub 取得 OpCon 軟體作為 Docker 映像。 使用 AKS 和 SQL Database 伺服器,在 Kubernetes 叢集中部署 OpCon 環境。
下列範例架構會使用 Kubernetes 組態在 Azure 中執行 SMA 的 OpCon。 它會使用站對站 VPN 閘道,安全地連線雲端基礎結構和內部部署基礎結構。 此實作會使用單一虛擬網路和多個子網來支持各種功能。 NSG 會篩選虛擬網路中 Azure 資源之間的網路流量。
工作流程:OpCon 數據中心
您可以在您管理的 AKS 叢集內部署 OpCon 核心服務容器。 PersistentVolumes (Azure 檔案記憶體 CSI 記憶體驅動程式) 會儲存記錄和組態資訊,以確保容器重新啟動的數據持續性。
OpCon 核心服務會透過設定的 Azure 私人端點連線到 OpCon 資料庫,以提供對 SQL Database 伺服器的安全存取。
OpCon 核心服務會與安裝在虛擬網路環境內 VM 上的 OpCon 代理程式通訊。 這些服務也會透過虛擬網路閘道與內部部署系統通訊。
同樣地,OpCon 核心服務會直接與虛擬網路環境中的應用程式 REST API 端點通訊。 這些服務也會使用 REST API 連線選項,透過虛擬網路閘道與內部部署系統通訊。
OpCon 核心服務提供解決方案管理員,這是與整個 OpCon 環境互動的網頁式使用者介面。
NSG 會限制子網之間的流量流量。
OpCon 資料庫物件和資料會儲存在設定為透過私人端點進行通訊的 SQL 資料庫中。
OpCon 核心服務會透過OpCon連接器技術與記憶體互動。 這項整合提供管理 Blob 記憶體的功能。 OpCon MFT 也支援與記憶體的互動。
應用程式子網包含提供應用程式基礎結構的 VM。 您也可以將應用程式伺服器安裝到多個子網或虛擬網路,為 Web 伺服器、應用程式伺服器或其他系統建立不同的環境。
應用程式 VM 或內部部署舊版系統需要連線到 OpCon 核心服務來管理其工作負載。 提供 REST API 端點的應用程式不需要額外的軟體。
子網包含 OpCon MFT 伺服器。 此 OpCon 元件提供完整的文件傳輸功能,例如壓縮、加密、解密、解壓縮、檔案監看,以及企業的自動化檔案路由。
NSG 會限制子網之間的流量流量。
在此混合式環境中,閘道網會透過站對站 VPN 通道連線,提供內部部署環境與 Azure 環境之間的安全連線。
網關會使用 Azure VPN 閘道與內部部署 VPN 裝置之間的 IPsec/IKE,建立安全的站對站 VPN 連線。 在 Azure 與內部部署網路之間傳遞的所有數據都會在此私人通道內加密,因為它會透過因特網傳輸。
局域網路閘道內部部署環境內通道相反端的閘道。 此閘道包含建立和維護通道連線所需的組態資訊。
所有使用者要求都會透過 VPN 網關聯機路由傳送至 OpCon 核心服務環境。
使用者與 OpCon 方案管理員互動,這是下列工具的網頁式使用者介面:
- OpCon 管理
- OpCon MFT 管理
- OpCon 工作流程開發、實作和監視
- OfCon 自助
- OpCon 視覺 (工作儀錶板)
- OpCon MFT 中央應用程式 (儀錶板和查詢應用程式)
OpCon 核心服務會透過虛擬網路閘道與安裝在內部部署系統上的 OpCon 代理程式通訊。
同樣地,OpCon 核心服務會使用虛擬網路網關,透過應用程式 REST API 端點直接與內部部署系統通訊。 此方法使用 REST API 型連線選項。
案例詳細資料
OpCon 資料中心是 OpCon 的內部部署版本。 您安裝及管理所有軟體。 此範例架構會使用 Kubernetes 組態在 Azure 中執行 SMA 的 OpCon。 它可作為單一自動化控制點,可跨企業自動化內部部署和 Azure 中的工作流程。 OpCon 可協助企業中所有伺服器和系統之間的工作流程。 OpCon SAM 是核心 OpCon 模組。 它會與目標系統上的代理程序通訊,以排程工作、監視工作及接收外部事件。 您可以跨許多平臺部署這些代理程式,包括 Windows、Linux/Unix、Unisys ClearPath Forward 大型主機(MCP 和 2200)、IBM z/OS 和 IBM AIX,這讓所有系統都處於統一自動化架構之下。
選擇OpCon Cloud與OpCon資料中心
OpCon Cloud 是 SMA Azure 環境中提供的受控服務。 SMA 會處理環境管理,透過 OpCon 資料庫備份和災害復原功能確保商務持續性,包括故障轉移至不同的區域。 SMA 也提供軟體升級作為服務的一部分。
OpCon 資料中心是一種 OpCon 解決方案,您可以在內部部署或本機雲端環境中安裝。
如果您想要稍後利用 SMA 服務供應專案,您可以順暢地從 OpCon 數據中心轉換為 OpCon Cloud。
元件
AKS 叢集 是受控環境,可簡化使用 Kubernetes 的部署、管理和調整容器化應用程式。
在OpCon雲端架構中,OpCon 核心服務會部署在 AKS 叢集中,以確保容器化工作負載的有效管理和延展性。 AKS 叢集中的PersistentVolumes提供記憶體,而 Azure 私人端點會建立安全的資料庫連線,以維護數據完整性。
Azure 虛擬機 提供虛擬化的彈性,而不需要購買和維護執行它的實體硬體。 Windows 和 Linux 都支援 Azure VM。
這些架構會使用 Azure VM 來裝載與 OpCon 核心服務通訊以進行工作負載管理的 OpCon 代理程式。
Azure 虛擬網路 是 Azure 中專用網的基本建置組塊。 虛擬網路可讓許多類型的 Azure 資源,例如 Azure VM,安全地彼此通訊、因特網和內部部署網路。
在這些架構中,虛擬網路支援不同函式的多個子網,並使用NSG來篩選流量。
Azure 網路適配器 可讓 Azure VM 與因特網、Azure 和內部部署資源通訊。
在這些架構中,網路介面卡可讓 VM 在虛擬網路內與外部資源通訊,以增強安全性和效能。 它們也會藉由散發流量並確保服務持續性來支援高可用性和負載平衡。
Azure 檔案服務 提供雲端中完全受控的檔案共用,可透過業界標準伺服器消息塊 (SMB) 通訊協定來存取。 您可以在 Windows、Linux 和 macOS 系統上同時掛接 Azure 檔案共用,無論它們是在雲端或內部部署中執行。
在OpCon雲端架構中,OpCon 核心服務會在 Blob 記憶體中儲存交易記錄,例如財務或銷售記錄,以安全且可調整的記憶體。 核心服務也會使用 MFT,將這些檔案的安全傳輸自動化到各部門。 這項整合可增強數據安全性、可靠性和作業效率。
SQL Database 是雲端的完全受控關係資料庫服務。 它為單一資料庫或彈性集區提供高可用性、延展性和內建智慧。
SQL 受控實例 是雲端中完全受控的 SQL Server 實例,可提供與內部部署 SQL Server 幾乎完整的相容性。
在這些架構中,OpCon 資料庫裝載於 SQL Database 實例中,並透過私人端點存取。 OpCon 後端可以使用 SQL Database 或 SQL 受控實例來管理 OpCon 專案。
OpCon 是企業級工作負載自動化和協調流程平臺,可讓組織透過集中式控制與自助介面,跨混合式環境排程、監視及管理 IT 程式。
在這些架構中,OpCon 核心服務會與虛擬網路內的代理程式和 REST API 端點通訊。
OpCon Cloud 是完全受控、雲端裝載的 OpCon 自動化平臺版本,部署在 Azure 中。
在OpCon Cloud架構中,OpCon Cloud 會將內部部署和 Azure 中的整個企業工作流程自動化。 OpCon 實例會在 Kubernetes 複本集內的 Linux 容器中執行,而 SQL Server 則做為 OpCon 資料庫。 虛擬網路是私人且安全的。
OpCon 自助 是一種 Web 型實作,可讓使用者執行隨選工作,通常可以選擇在 OpCon 環境中輸入自變數。
這些架構會使用 OpCon 自助來提供工作實作和監視的使用者介面。
OpCon 視覺 提供儀錶板來監視 OpCon 工作。 它會顯示所有流程中工作的邏輯表示法。 工作會使用標記來分組,而每個群組代表所有相關聯的工作。 發生問題時,您可以從儀錶板向下切入到失敗的工作。
這些架構會使用 OpCon Vision 來設定工作組的服務等級目標 (SLO) 值,並在即將超過 SLO 值時提供早期警告。
OpCon MFT 可在 OpCon 環境中啟用安全、受控的檔案傳輸。 它會整合專用的 MFT 代理程式和檔案傳輸伺服器,以提供全企業的文件傳輸和監視功能。
這些架構使用 OpCon MFT 來支援壓縮、解壓縮、加密、解密、檔案監看和自動化檔案路由。 例如,區域醫療保健提供者可能會處理每日保險索賠,而且需要使用不同格式、加密需求和傳遞方法,安全地將檔案傳送給多個保險合作夥伴。 OpCon MFT 有助於減少錯誤、確保加密,並提供彈性。
替代選擇
下列各節說明實作解決方案時要考慮的替代方案。
元件放置
VM 和 OpCon 資料庫的位置具有彈性。
應用程式子網可以包含應用程式 VM。 您也可以在多個子網或虛擬網路中安裝應用程式伺服器。 當您想要為不同類型的伺服器建立不同的環境,例如 Web 伺服器和應用程式伺服器時,請使用此方法。
您可以將資料庫放在 OpCon 子網內部或外部。
SQL 受控實例
您可以使用 SQL 受管理執行個體 作為 OpCon 資料庫,而不是使用 SQL 資料庫。 您可以在 OpCon 子網中安裝 SQL 受控實例。 或者,您可以將受控實例安裝在您專用於現有虛擬網路內 SQL 受控實例的個別子網中。
Azure ExpressRoute
您可以透過透過連線提供者建立的 Azure ExpressRoute 連線到Microsoft全域網路,而不是使用 VPN 閘道和站對站 VPN 通道。 ExpressRoute 連線不會略過公用因特網。
ExpressRoute 適用於執行需要高度延展性和復原能力之大規模任務關鍵性工作負載的混合式應用程式。
AKS 組態
部署的 OpCon 環境是由單一副本集和 Azure SQL 資料庫內的兩個 Pod、OpCon 和 Impex 所組成。 負載平衡器可控制 Pod 的存取權。 負載平衡器會將外部位址和埠對應至內部 REST API 伺服器端點。
下圖顯示 Kubernetes YAML 檔案中各種定義之間的組態需求和關聯性。
種類:秘密(dbpasswords)
dbpasswords Secret 包含連線到 OpCon 資料庫所需的資料庫密碼。
種類:ConfigMap (opcon)
opcon ConfigMap 包含 OpCon REST API 資訊、時區、語言和 OpCon 資料庫資訊,例如地址、資料庫名稱和資料庫使用者。
種類:ConfigMap (impex)
impex ConfigMap 包含 Impex REST API 資訊和 OpCon 資料庫資訊,例如地址、資料庫名稱和資料庫使用者。
種類:PersistentVolumeClaim (impexlog)
impexlog PersistentVolumeClaim 包含與 Impex 環境相關聯的記錄檔。
種類:PersistentVolumeClaim (opconlog)
opconlog PersistentVolumeClaim 包含與 OpCon 環境相關聯的記錄檔。
種類:PersistentVolumeClaim (opconconfig)
opconconfig PersistentVolumeClaim 包含各種 .ini 檔案和 OpCon 授權檔案。
種類:ReplicaSet (opcon)
opcon 和 impex 容器定義參考先前定義的秘密、ConfigMaps 和 PersistentVolumeClaim 定義。
種類:服務 (LoadBalancer)
LoadBalancer 服務會定義 OpCon 和 Impex REST API 伺服器與外部位址和埠的內部 REST API 埠對應。
潛在應用情境
全球金融公司會自動進行安全的文件傳輸,以確保及時處理日常財務報告。
零售公司將 IT 營運控制集中,以提高效率。
全國零售連鎖店會使用批次排程將夜間庫存對帳自動化,以確保報表在營業日開始前準備就緒。
企業 IT 小組會建置自助工作流程,以減少對系統管理員存取的相依性,並強化員工的能力。
醫療保健提供者會協調伺服器修補程式部署,以協助確保合規性。
保險公司使用 OpCon 工作流程將Microsoft Patch 星期二更新自動化,這有助於確保及時合規性。
軟體開發小組會將 Azure 資源管理自動化,以將雲端支出優化。
企業會使用 OpCon 的集中式介面來監視工作流程和伺服器狀態,進而改善服務等級協定遵循。
HR 會將上線自動化,以將上線時間從小時減少到數分鐘。
物流公司追蹤出貨事件。 OpCon 會監視特定資料庫專案,並自動觸發下一個工作流程,例如發票產生、電子郵件警示或更新。
考慮事項
這些考量能實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可以用來改善工作負載的品質。 如需詳細資訊,請參閱 Well-Architected Framework。
可靠性
可靠性有助於確保您的應用程式可以符合您對客戶的承諾。 如需詳細資訊,請參閱可靠性的設計檢閱檢查清單。
OpCon Cloud 可降低基礎結構和維護成本,同時為您提供 Always-On 解決方案的安全性和可靠性。 它也提供從非計劃性系統中斷或災害的快速復原。 OpCon 有自己的內建復原功能。 或者,您可以使用 Azure Site Recovery 來維護 OpCon 環境的複本,以用於災害復原的情況。
針對 AKS 中的 Azure 檔案服務 CSI 驅動程式,建議您使用 Premium_LRS 層。 此層提供本地備援記憶體,以確保您的數據會在單一實體位置內複寫。 它也提供高效能和低延遲,因此它適合需要快速且可靠的記憶體的工作負載。
針對災害復原,如果您需要嚴格的復原時間目標 (RTO) 和任務關鍵系統的恢復點目標 (RPO) 合規性,OpCon 可以提供自動化協調流程。 在資料中心中斷或網路事件期間,您可以使用 OpCon 將整個災害復原劇本自動化。 此方法可確保主要月臺工作負載正常關機,並將故障轉移順序起始至災害復原月臺或雲端環境。 此程式包括重新對應記憶體、重新建立資料庫連線,以及執行驗證檢查。
此方法具有下列優點:
- 使用最少人為介入來更快且更可靠的復原
- 定期災害復原測試,而不會中斷生產系統
- 保證法規合規性
- 縮短停機時間
安全
安全性可提供針對蓄意攻擊和濫用寶貴數據和系統的保證。 如需詳細資訊,請參閱安全性的設計檢閱檢查清單。
OpCon Cloud 設定不需要輸出連線,因為轉接應用程式會管理這些連線。 轉寄應用程式會使用TLS 1.3進行安全通訊。
AKS 組態會擷取並加密必要的密碼。 不支援工作負載身分識別。
OpCon 資料中心設定會使用閘道子網來僅路由授權流量,以安全性建置。 若要讓 OpCon 環境中的所有目標系統保持最新的弱點修補程式,您可以使用 OpCon 自動化來更新安全性修補程式。 如需詳細資訊,請參閱 Azure 的安全性基準。
成本優化
成本優化著重於減少不必要的費用,並提升營運效率的方式。 如需詳細資訊,請參閱成本最佳化的設計檢閱檢查清單。
OpCon 工作負載自動化可減少手動步驟,以確保一致的工作流程可改善每個反覆專案的效率。 此功能有助於防止人為錯誤和手動數據輸入,以節省您重新執行所花費的時間和資源。 如需更多範例,請參閱 什麼是工作負載自動化?
卓越營運
卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊,請參閱卓越營運的設計檢閱檢查清單。
OpCon 提供企業能力與延展性,而不需要複雜度或成本。 其可簡化手動工作的自動化,並順暢地協調業務關鍵性作業的工作負載。 它可協助您減少人為錯誤、節省時間,並允許 IT 小組專注於策略性計畫。
針對OpCon Cloud,SMA 會設定、部署及管理OpCon環境。 這些工作包括容器生命週期管理和災害復原選項,可節省時間並減少錯誤。
效能效率
效能效率是指工作負載能夠有效率地調整以符合使用者需求。 有關詳細資訊,請參閱效能效率的設計審核清單。
您可以使用 OpCon 來監視工作負載,並使用 Azure 動態調整資源。 您可以在高需求期間增加資源,或在離峰期間關閉資源。
貢獻者們
本文由 Microsoft 維護。 下列參與者撰寫本文。
主要作者:
- 伯蒂·范欣斯伯格 |主要自動化顧問
其他參與者:
- 菲力浦·布魯克斯 |資深項目經理
若要查看非公開的 LinkedIn 個人檔案,請登入 LinkedIn。
後續步驟
如需此解決方案的詳細資訊:
- 請連絡 舊版移轉工程小組。
- 請連絡 SMA。 SMA Technologies 是 IT 自動化空間中Microsoft金級合作夥伴。